Die Bedrohungslage für Softwareentwickler hat sich dramatisch verschärft. Was lange Zeit als klassische Social-Engineering-Kampagne bekannt war, hat sich zu einem hochautomatisierten, sich selbst verbreitenden Angriffsmechanismus entwickelt. Die nordkoreanische Gruppe Void Dokkaebi nutzt eine ausgefeilte Taktik: Gefälschte Jobausschreibungen locken Entwickler dazu, vermeintliche Test-Repositories zu klonen und auszuführen – ein bei Einstellungsprozessen alltägliche Praxis, die das Vertrauen von Fachleuten ausnutzt.
Das Infektionsverfahren ist technisch raffiniert. Die Angreifer manipulieren Visual Studio Code-Tasks so, dass Malware ausgeführt wird, sobald ein Entwickler das Projekt in VS Code öffnet und die Workspace-Vertrauensanfrage akzeptiert. Besonders tückisch: Die .vscode-Ordner werden standardmäßig ausgeblendet, was die bösartigen Inhalte wirksam verschleiert. Wenn die infizierte Kopie anschließend auf GitHub, GitLab oder Bitbucket zurück hochgeladen wird, wird aus dem einzelnen Opfer ein Verbreitungsvektor für alle nachfolgenden Entwickler, die das Repository klonen.
Die Folgen sind dramatisch. Joshua Allman, Analyst bei Huntress, warnt: “Wenn es ihnen gelingt, ein beliebtes Paket oder Projekt zu kompromittieren, können tausende nachgelagerte Projekte betroffen sein.” Im März identifizierten Sicherheitsforscher bereits Infektionen in Repositories von bekannten Unternehmen wie DataStax und Neutralinojs. Die Angreifer nutzen zudem Blockchain-Infrastruktur (Tron, Aptos, Binance Smart Chain) für ihre Payload-Staging, was Takedown-Versuche erheblich erschwert.
Für deutsche Entwickler und Unternehmen entstehen mehrere Handlungsfelder. Jobsuchende sollten Test-Code stets in isolierten virtuellen Umgebungen ausführen, die keinen Zugriff auf echte Credentials, Token oder Secrets haben. Unternehmensseite sind strikte Maßnahmen erforderlich: Lock-Files für Dependency-Management, Integritätsprüfungen von Updates, Code-Signing-Validierung und aktive Endpoint-Protection. Besonders wichtig ist es, alle externen Repositories – auch im Recruiting-Kontext – als grundsätzlich nicht vertrauenswürdig zu behandeln und anomale Commits sofort zu erkennen.
Diese Kampagne zeigt ein fundamentales Problem der modernen Softwareentwicklung: Die Öffnung für Zusammenarbeit und die Automatisierung durch CI/CD-Pipelines bieten Angreifern massive Angriffsflächen. Die bloße Anzahl von über 750 infizierte Repositories im März 2024 deutet darauf hin, dass wir es mit einem massiven, eskalierenden Sicherheitsrisiko zu tun haben.